Flash安全的一些总结WEB安全电脑资料.doc

Flash安全涉及多个方面，其中最重要的是跨域通信的管理，主要通过`crossdomain.xml`文件进行控制。这个文件是Flash应用程序进行跨域访问时的权限配置文件，它定义了哪些域的Flash内容可以访问和交互数据。以下是关于`crossdomain.xml`文件的详细解释和相关知识点： 1. **crossdomain.xml的结构**： - `crossdomain.xml`文件必须遵循XML语法，且只有一个根节点`<cross-domain-policy>`，不包含任何属性。 - 可以包含的子节点有：`site-control`、`allow-access-from`、`allow-access-from-identity`、`allow-custom-request-headers-from`。 2. **site-control节点**： - 这个节点用于控制Flash加载自定义策略文件的行为。 - 默认情况下，Flash不会加载除根目录下的`crossdomain.xml`之外的策略文件。 - `permitted-cross-domain-policies`属性决定了是否允许加载其他策略文件，有`none`、`master-only`、`by-content-type`、`by-ftp-filename`和`all`五个值。 3. **allow-access-from节点**： - 用于指定哪些域有权限进行跨域请求数据。 - `domain`属性：可以是IP地址、域名或子域名。`*`通配符可以用于代表所有域或特定子域组合。 - `to-ports`属性：定义允许的端口范围，可以指定具体端口或使用`*`表示所有端口。 - `secure`属性：若设置为`true`，则要求通过`s`协议（HTTPS）进行加密传输。 4. **allow-access-from-identity节点**： - 用于配置允许有特定证书的跨域访问策略。 - 包含一个`signatory`子节点，指定认证证书信息。 5. **allow-custom-request-headers-from节点**： - 允许第三方域的Flash向本域发送自定义HTTP头。 - `domain`属性：类似于`allow-access-from`中的`domain`。 - `headers`属性：列出允许发送的头部字段，可以使用通配符`*`表示全部。 - `secure`属性：同`allow-access-from`中的`secure`，控制加密传输。 6. **安全性考虑**： - 不正确的`crossdomain.xml`配置可能导致敏感数据泄露或跨站请求伪造（CSRF）攻击。 - 使用`secure`属性可以防止未加密的数据传输，增加安全性。 - 需要注意限制允许的端口和自定义头，防止滥用和攻击。 7. **最佳实践**： - 只为需要的域提供访问权限，避免使用通配符`*`。 - 定期检查和更新`crossdomain.xml`，确保策略符合当前应用的需求。 - 使用安全协议（HTTPS）来保护数据传输。 理解并正确配置`crossdomain.xml`对于维护Flash应用程序的安全至关重要。随着技术的发展，现代Web倾向于使用更安全的替代技术，如HTML5，但对仍使用Flash的应用，确保其安全性仍然重要。